Linux内核SCTP协议漏洞分析与复现

宣布时间 2019-05-30

漏洞配景

Linux内核SCTP协议实现中存在一个宁静漏洞CVE-2019-8956（CNVD-2019-06182、CNNVD-201902-823），可以导致拒绝服务。该漏洞存在于net/sctp/socket.c中的sctp_sendmsg()函数，该函数在处置SENDALL标志操作过程时存在use-after-free漏洞。

SCTP协议简介

流控制传输协议（Stream Control Transmission Protocol，SCTP）是一种可靠的传输协议，它在两个端点之间提供稳定、有序的数据通报服务（非常类似于 TCP），而且可以�；な菹⒔缦蓿ɡ� UDP）。与TCP和 UDP差异，SCTP 是通过多宿主（Multi-homing）和多流（Multi-streaming）功效提供这些收益的，这两种功效均可提高可用性。

多宿主（Multi-homing）为应用法式提供了比 TCP 更高的可用性。多宿主主机就是一台具有多个网络接口的主机，因此可以通过多个 IP 地址来访问这台主机。在 TCP 中，连接（connection）是指两个端点之间的一个通道（在这种情况下，就是两台主机的网络接口之间的一个套接字）。SCTP 引入了“联合（association）”的看法，它也是存在于两台主机之间，但可以使用每台主机上的多个接口进行协作。

漏洞原理

漏洞补丁代码如下，补丁代码将list_for_each_entry换成了list_for_each_entry_safe。

尊龙抖圈 - 为du而生

宏界说list_for_each_entry功效是遍历ep->asocs链表中的asoc节点。宏界说list_for_each_entry和list_for_each_entry_safe如下所示：

尊龙抖圈 - 为du而生

宏界说list_for_each_entry_safe中添加了一个n，该n用来存放pos指向的节点的下一个节点位置。使用该宏可以对链表进行删除操作。

下面对sctp_sendmsg函数调用链进行分析。sctp_sendmsg是基于SCTP协议的sendmsg类型函数，用于发送SCTP数据包。要害实现如下：

尊龙抖圈 - 为du而生

行2038，从msg中解析出sinfo；行2043，获取到sflags。

尊龙抖圈 - 为du而生

行2055，判断sflags是否为SCTP_SENDALL。如果存在，进入list_for_each_entry循环中，依次遍历ep->asocs链表。这里的asocs就是存放多个association连接的链表。SCTP_SENDALL标志代表向asocs链表中的所有association连接发送数据包。所以asocs链表中至少要存在一个association节点。进入sctp_sendmsg_check_sflags函数后，该函数实现如下：

尊龙抖圈 - 为du而生

首先，检查asoc是否处于CLOSED状态，检查asoc是否处于监听状态，检查asoc是否shutdown。

尊龙抖圈 - 为du而生

接下来，检查sflags是否为SCTP_ABORT，凭据rfc文档可知ABORT的用法以及ABORT指令的数据包格式。SCTP_ABORT标志代表中止一个association连接，这个也是导致漏洞的要害。

尊龙抖圈 - 为du而生

行1863，sctp_make_abort_user结构ABORT指令的chunk；行1868，调用sctp_primitive_ABORT发送中止一个association的chunk。

尊龙抖圈 - 为du而生

通过调试可知调用sctp_sf_do_9_1_prm_abort函数进行ABORT操作，该函数将会进行如下操作：

尊龙抖圈 - 为du而生

添加一条删除asoc的commands，然后返回SCTP_DISPOSITION_ABORT。正常返回，继续分析，返回到sctp_do_sm函数中。

尊龙抖圈 - 为du而生

行1188正常返回后，行1191调用sctp_side_effects函数凭据状态机对应的状态进行操作。

尊龙抖圈 - 为du而生

行1246，将asoc置空，ABORT标志代表中止一个association操作结束。从sctp_sendmsg_check_sflags函数返回到sctp_sendmsg函数中，宏list_for_each_entry循环中遍历获取第一个asoc节点时，进入sctp_sendmsg_check_sflags函数将第一个asoc置空，然后再进行遍历后面节点时，就发生了零地址引用导致漏洞发生。

漏洞复现

将sflags设置成SENDALL | ABORT，保证进入list_for_each_entry循环和sctp_sendmsg_check_sflags()函数即可。在4.20内核下验证如下。由于该漏洞是NULL-PTR deref，即是零地址解引用，无法进一步利用。

修复建议

该漏洞影响Linux Kernel 4.19.x和4.20.x，建议更新到version 4.20.8 或4.19.21。补丁链接如下：https://git.kernel.org/linus/ba59fb0273076637f0add4311faa990a5eec27c0

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

抖圈为赌而生

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系抖圈为赌而生

宁静研究

Linux内核SCTP协议漏洞分析与复现

关于抖圈为赌而生

解决方案

宁静研究

联系抖圈为赌而生

7*24小时服务热线